「常時SSL化」とは、Webサイトのすべてのページをhttpsにすることだ。しかし、Web制作を請け負ったとき、クライアントにきちんと説明して、常時SSL化を進言できるだろうか。そのためにはWeb制作者がまず、常時SSL化のメリットを理解しなければならない。
「SSLは、セキュリティ向上のために入力フォームに導入するもの」というのが一般的なイメージだが、今はそうではなく、全ページをSSLにするメリットがあるのだ。また、SSLサーバー証明書には複数の種類があり、どれでもいいというわけではない。常時SSL化のメリットとSSLサーバー証明書の選び方を紹介しよう。
常時SSL化は待ったなし
大多数のホスティングサービスでは、9割のユーザーがhttpのみを使っている。つまり、これまでは大多数のユーザーにとってSSLは無関係なものと思われていた。しかし、これからはすべてのWeb担当者にとって、SSLが関係のあるものになる。理由は、ここ数年でセキュリティ環境が変わっており、さらにセキュリティ以外のメリットや新しい価値が登場しているからだ。主なものを以下に挙げる。
1. セキュリティの強化
従来からある暗号化の機能は、公衆無線LANを使う機会が増えたことでより重要になっている。なりすましアクセスポイントに接続してしまっても、WebサイトがSSL化されていれば情報を保護できる。
2. 通信速度の向上
HTTP/2プロトコルによる通信速度向上の恩恵が得られる。HTTP/2は、長らく使われてきたHTTP/1.1と比べて、Webページの表示速度を改善する。しかし現状では、ほとんどのブラウザがhttpsでのみHTTP/2に対応するため、その恩恵を受けるには常時SSL化が必要だ。
3. SEO対策
グーグルは、SEOランキングでhttpsサイトを優遇すると発表している。検索結果における順位決定の大きな要因ではないが、他の要因が同等であれば、非httpsよりもhttpsページの方が、順位が高くなることが期待できる。SEOテクニックによる効果がどんどん下がってきている今、常時SSL化は、検索順位を意識するならばぜひ検討したい。
4. アクセス解析の精度が上がる
常時SSL化すると、これまで取れなかったリファラー情報(どのページからリンクをたどってきたか)が取れるようになる可能性がある。これは、ブラウザの技術仕様で以下のように決まっているためだ。
- ○ httpサイトからhttpサイトへのリファラー情報は、取得可
- × httpsサイトからhttpサイトへのリファラー情報は、取得不可
- ○ httpサイトからhttpsサイトへのリファラー情報は、取得可
- ○ httpsサイトからhttpsサイトへのリファラー情報は、取得可
グーグルが検索サイトをSSL化したほか、ヤフーも来年3月にSSL化すると発表している。それ以外にも常時SSL化されたサイトが増えつつあり、自社のサイトをSSL化しないとリファラー情報が取れないため、アクセス解析の精度が下がる。まわりに常時SSL化されたサイトが増えるほど、自社サイトの常時SSL化が重要になってくる。
そもそもSSLは何のため? 知っておくべき2つのポイント
SSLの役割は2つある。ひとつは、ブラウザとサーバー間の通信を暗号化することだ。これにより、外部からの盗み見、改ざん、なりすましができなくなる。もうひとつが認証で、ブラウザがやりとりしている相手が確かにその会社のWebサイトであることを第三者の認証局が証明する役割を持つ。これにより、正しい相手に通信していると確認できる。
正しい相手に安全に通信するという役割から、従来はクレジットカード番号や個人情報を入力するページにSSLを導入するというのが一般的なイメージだった。しかし最近は、すべてのページをSSL化する常時SSL化がトレンドだ。
SSL化するにはSSLサーバー証明書をインストールするが、証明書はひとつのドメイン(FQDN)に一枚必要なので、もし入力フォームをSSL化しているなら、その証明書で全ページをSSL化することができる。また、暗号化のための関数は時間とともに強化されていくため、フィーチャーフォンではSSLに対応できないケースもあったが、
今はスマホが主流、世界中の人が同じプラットフォームで使っているので、常時SSL化するハードルは低くなっている(シマンテック・ウェブサイトセキュリティ 阿部 貴氏)
という。
SSLなら何でもいいのか?
SSLサーバー証明書には信頼性の高い順にEV、OV、DVという3種類があり、発行の手続きが異なる。上位の証明書は、下位の機能を包含する関係である。
- DV(ドメイン認証)型
ドメインのオーナーかどうかで発行する。会社名を偽って申請することもできるので、暗号化の機能はあるが、認証の意味合いは実質的にない。
- OV(企業認証)型
第三者認証局が各認証局のデータベースなどの方法でその会社の実在性を確認して発行する。
- EV(Extended Validation)型
会社の法的実在性のほか、その住所で本当に事業が行われているか、ビジネスを一定年数継続しているかなど、国際的な認定基準に基づく確認が行われる。エンドユーザーから見ると、アドレスバーが緑色に変化し、サイト運営者の企業名を表示する。
歴史的には、暗号化と実在の認証(本物の証明)という基本機能を持つOVがまず登場した。ECサイトが登場し始めたころのことだ。
その後、通信の暗号化はしたいが、企業認証などの手間と時間を省いた簡易なものが求められ、ドメイン認証型の証明書が生まれた。
さらにしばらくたってインターネットが一般に広く普及すると、「そのサイトが本物かどうか確かめるには、鍵マークをクリックして証明書を確認する」ということを知らないユーザーが大量に増え、DV証明書を使ったフィッシングサイトが登場した。
そこで、誰でもひと目で本物だとわかるように、アドレスバーを緑色にしたり企業名を入れるといった工夫を加えたEVが登場した。
重要なのは、3種類の証明書が同じものだと思って、SSLだから安心と考えると騙される可能性があることです。SSLだから暗号化されていると確認したうえで、認証された本物であるかを見極める目を持つ必要があります。DV SSLサーバー証明書の場合は、暗号化はされていますが偽物に送っている可能性がある。そういうことを念頭に置いてトランザクションする意識が必要です(シマンテック・ウェブサイトセキュリティ 中川就介氏)
また、通常のSSLサーバー証明書はひとつのドメインに対して一枚の証明書で運用するが、複数のWebサイトを運用している場合に使いやすい、新しいタイプの証明書が登場している。ひとつは、複数のサブドメインに対応したワイルドカード証明書、もうひとつは、複数のFQDN(ホスト名+ドメイン名)に対応したマルチドメイン証明書である。
SSLサーバー証明書の選び方
SSLサーバー証明書の選び方でよくある勘違いは、「クレジットカード情報を入力するならSSL」というものだ。そうではなく、正しい考え方は以下のとおりである。
- 不特定多数がアクセスする場合は、OVまたはEV
- 特定の人だけがアクセスする場合は、DV
つまり、接続先が必ず安全であるとわかっている場合以外は、認証機能のあるOV以上を入れるべきというのが原則だ。さらに、アクセスしてきたユーザーに安心感を与えたいという場合は、アドレスバーを見ればすぐに本物とわかるEVがお勧めということになる。
具体的な利用シーンで考えてみよう。
クレジットカード番号など、漏れれば直接的な被害に直結する情報をやり取りするサイトは認証機能が必須で、ユーザーはITに強い人ばかりではないという場合はEVの方がいい。
業種別で考えるなら、金融業であればOV以上、できればEVが望ましい。ECサイトも同様だ。
また、お金のやり取りも個人情報のやりとりもない場合でも、社会的な信用がビジネス上重要だという場合はEVにするといい。誰の目にも、セキュリティや情報管理に力を入れている会社とわかりやすいからだ。
逆に、社内のイントラネットで利用する業務用Webアプリケーションなどは、DVでかまわない。サーバーに接続してくるのはネットワーク内の社員に限られ、サーバーが偽物ということは考えにくいからだ。ただしその場合でも、攻撃者が侵入して通信を盗聴することに備えて、暗号化だけはしておこう。
それ以外にDVを選択できるのは、スマホアプリの場合だ。ブラウザと違い、アプリの場合はアプリを発行した会社のサーバーにしか接続しない仕様になっているので、接続先の認証は必要ないと言える。
また、複数サイトを運営する場合の選び方の原則は、以下のとおり。
- 複数ドメイン(FQDN)の場合はマルチドメイン、複数サブドメインならワイルドカード
SSLサーバー証明書はひとつのFQDNに一枚必要である。
しかし、企業によっては会社案内を「corp.xxx.jp」、製品紹介を「www.xxx.jp」、ECサイトを「shop.xxx.jp」のように、異なるサブドメインで運用するケースもある。この場合、従来のSSLサーバー証明書は3枚必要だが、ワイルドカード証明書であれば一枚で運用できる。
一方、ブランドごとにドメインの異なる複数サイトを運用している場合に、ワイルドカードではなく、マルチドメインサーバー証明書が最適な選択となることがある。ただし、例えば管理者が異なる場合など、無理に一枚のSSLサーバー証明書にすると運用しにくい場合もある。
これらの複数ドメイン対応証明書のメリットは、以下の2つである。
- 証明書枚数が減るので管理負荷が減る
- 複数枚の証明書を買うよりも安くつく(少ないサイト数であれば逆に割高になる場合があるので注意)
利用シーンで簡単にまとめると、以下のようになる。
- 「金融またはECのサイト」 → OV以上、できればEV
- 「資料請求のための顧客情報入力フォームがある」 → OV以上
- 「本物のサイトだと誰にでもすぐわかるようにしたい」 → EV
- 「社員しかアクセスしないイントラ内のサーバー」 → DV
- 「ひとつのサーバーで複数のサブドメインを運用している」 → ワイルドカード
- 「ブランドごとにドメインの異なる複数サイトを運用している」 → 証明書を複数枚、またはマルチドメイン
ただし、業種・業態を問わず、
制作会社はお客様のセキュリティポリシーやサイトの使い方をヒアリングして、適したSSL証明書を提案することが重要だ。(シマンテック・ウェブサイトセキュリティ 千葉直子氏)
ジオトラストSSLなら信頼感とコストの両立
Webサイトの常時SSL化のタイミングは、もちろん新規立ち上げであれば、常時SSL化を想定して設計・構築するのがいい。また、既存サイトを常時SSL化する場合は、リニューアルなどのタイミングがいいだろう。既存サイトの場合は、外部ビーコンがSSLに対応しているかどうか確認し、できればCMSでテンプレートを統一する方が導入しやすい。
SSLサーバー証明書を選ぶときには、「コストよりも信頼性で選ばれることが多い」(中川氏)
という。セキュリティ関連では、安かろう悪かろうでは意味がないからだろう。そのためには、安心できるブランドでなければならない。とはいえ、安心できるのであれば、安いにこしたことはない。そのコストと信頼性を両立しているのが、シマンテックグループのジオトラストである。
シマンテックには、シマンテックブランドのSSLサーバー証明書もある。こちらは、マルウェアスキャンや脆弱性診断などの機能がありノートンセキュアドシールもついた、高機能で比較的高価な製品だ。
そのシマンテックグループで、コストパフォーマンスを重視しているのがジオトラストのSSLサーバー証明書である。暗号化、実在性確認などの基本機能のみを提供し、同様の証明書を提供する競合他社に比べても、若干安い。コストパフォーマンスを重視していながら、設計思想はシマンテックの上位製品と同じで、サポートも同様に提供する。
また、シマンテックブランドにはないDV証明書まで含んだ、フルラインナップで提供しているのも特徴だ。
シマンテックでは定期的にWebサイトセキュリティに関するセミナーを開催しているほか、さまざまなドキュメントを提供している。この記事の内容をわかりやすくまとめたドキュメントも用意しているので、制作会社の方はクライアントへの説明に活用していただきたい。
ソーシャルもやってます!